Durante toda la madrugada la actividad de los laboratorios antivirus ha
sido frenética, y a primera hora de la mañana todos contaban con la
correspondiente actualización. En esta entrega analizaremos además la
estrategia seguida por el gusano para engañar e infectar a los usuarios,
así como el resto de características.
La reacción de
las diferentes soluciones antivirus, en ofrecer la actualización
pertinente a sus usuarios para detectar el nuevo gusano, ha sido la
siguiente:
TrendMicro, el 26/01/2004 a las 23:52:29 como
WORM_MIMAIL.R
NOD32, el 27/01/2004 a las 00:55:43 como Win32/Mydoom.A
Antigen, el 27/01/2004 a las 01:39:51 como MyDoom.A@mm
Norton, el
27/01/2004 a las 01:50:13 como W32.Novarg.A@mm
Kaspersky, el
27/01/2004 a las 02:08:53 como I-Worm.Novarg
Sophos, el 27/01/2004 a
las 02:09:19 como Win32/MyDoom-A
InoculateIT, el 27/01/2004 a las
02:28:42 como Win32.Shimg.Worm
Panda, el 27/01/2004 a las 05:39:04
como W32/Mydoom.A.worm
McAfee, el 27/01/2004 a las 05:57:49 como
W32/Mydoom@MM
Estos datos pertenecen a las soluciones antivirus
monitorizadas 24hx7d por el laboratorio de Hispasec. Destacan los
distintos nombres con los que el gusano ha sido bautizado (Mimail.R,
Mydoom, Novarg y Shimg), y como en prácticamente 6 horas se han
concentrado todas las actualizaciones de los diferentes productos,
muestra del peligro que representa el gusano.
Táctica del
gusano para engañar a los usuarios
Este gusano no
infecta de forma automática a los sistemas, a diferencia de aquellos,
como Blaster, que se aprovechaban de vulnerabilidades de los productos
de Microsoft. En este caso, el usuario debe abrir y ejecutar el archivo
que contiene el gusano para infectar su sistema.
Para engañar a
los usuarios, el gusano suele llegar adjunto en un mensaje que simula
haber tenido algún problema con el servidor de correo. Entre otras
excusas, el mensaje del gusano puede indicar que el correo electrónico
contenía caracteres no válidos y ha requerido enviarlo como archivo
binario adjunto. Algunos de estos mensajes trampa son:
– The message cannot be represented in 7-bit ASCII encoding and has been sent
as a binary attachment.
– The message contains Unicode
characters and has been sent as a binary attachment.
transaction failed. Partial message is available.
Aunque
también se han recibido muestras con otros textos o con el cuerpo del
mensaje vacío.
Los textos más comunes que aparecen en el
asunto del mensaje son:
test
hi
hello
Mail Delivery
System
Mail Transaction Failed
Server Report
Status
Error
El archivo adjunto, donde viaja el código del gusano, es un ejecutable con
extensión .BAT, .CMD, .EXE, .PIF, .SCR o como ZIP, su icono en Windows
simula ser un archivo de texto y también se han detectado casos en los
que aparece como acceso directo de MsDos, entre los nombres más comunes
reportados se encuentran:
readme
file
text
doc
hello
body
message
test
document
data
Cuando se ejecuta en un
sistema crea los siguientes archivos:
– Message en el
directorio temporal de Windows
– shimgapi.dll y taskmon.exe en el
directorio de sistema (system) de Windows
El archivo Message lo
crea con caracteres al azar, y muestra su contenido ilegible con el bloc
de notas. Con este efecto el gusano intenta engañar al usuario, para que
crea que el archivo adjunto en el e-mail que ha ejecutado era sólo texto
sin sentido debido a algún error del correo electrónico, cuando en
realidad ha activado el gusano y da comienzo su rutina de infección y
propagación.
Infección del sistema
Añade las siguientes entradas en el registro de Windows para asegurarse
su ejecución en cada inicio del sistema:
-HKEY_CURRENT_USERSoftwareMicrosftWindowsCurrentVersionRunTask Mon
= %System%taskmon.exe
-HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunTask
Mon = %System%taskmon.exe
El archivo taskmon.exe, puede
sobreescribir a un ejecutable legítimo de Windows que tiene el mismo
nombre, por lo que los usuarios no se deben alertar por encontrar
únicamente este nombre de archivo en sus sistemas. Para corroborar la
infección deben comprobar el resto de síntomas aquí descritos o utilizar
un antivirus puntualmente actualizado.
Adicionalmente crea las
siguientes entradas en el registro de Windows:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32Version
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32Version
Puerta trasera
El archivo shimgapi.dll es inyectado en
el ejecutable de Windows explorer.exe a través de la siguiente entrada
en el registro:
HKEY_CLASSES_ROOTCLSID{E6FB5E20-DE35-11CF-9C87-00AA005127ED}InProcServer3
2 (Default) = %SysDir%shimgapi.dll
Esta DLL actúa
como proxy, abriendo un puerto TCP en el sistema en el rango 3127-3198,
que permite el acceso de terceras personas. Además cuenta con
funcionalidades para descargar y ejecutar programas de forma arbitraria,
lo que posibilita todo tipo de acciones.
Propagación por correo electrónico
Una vez infecta un sistema, el gusano recoge direcciones de correo a las
que enviarse buscando en los archivos con extensión .htm, .sht, .php,
.asp, .dbx, .tbb, .adb, .pl, .wab y .txt. El formato del mensaje en el
que se autoenvía es el que describimos con anterioridad, haciéndose
pasar por un problema en el envío o visualización del correo electrónico.
Como curiosidad, parece ser que el autor del gusano ha querido tener cierto
trato de favor con las universidades de Estados Unidos, ya que evita
enviarse a las direcciones de e-mail que finalizan en .edu
Propagación a través del cliente KaZaa (red P2P)
En
los sistemas que infecta localiza la carpeta de archivos compartidos del
cliente P2P KaZaa y se copia con la extensión .pif, .scr, .bat o .exe y
alguno de los siguientes nombres:
nuke2004
office_crack
rootkitXP
strip-girl-2.0bdcom_patches
activation_crack
icq2004-final
winamp
Para que otro usuario se infecte a través
de esta vía, es necesario que realice en la red P2P una búsqueda por
alguno de los nombres utilizados por el gusano, que proceda a su
descarga, y ejecute el archivo.
En realidad esta vía de contagio
es apenas insignificante en comparación con la propagación alcanzada por
correo electrónico.
Ataque por denegación de servicio
distribuido
El gusano contiene un payload o efecto que se
activa a partir del 1 de febrero, dejará de propagarse a través del
correo electrónico para iniciar un ataque por denegación de servicio
contra el dominio www.sco.com. Este ataque también tiene fecha de
caducidad, ya que el gusano dejará de realizar peticiones GET al puerto
80 de sco.com a partir del 12 de febrero, fecha a partir de la cual sólo
quedará activa la puerta trasera en el sistema infectado a través del
puerto TCP abierto.
Al parecer el creador del gusano tiene
interés en perjudicar al grupo SCO, empresa que está en los últimos
tiempos en el punto de mira de la comunidad Linux, ya que demandó a IBM
argumentando que el código fuente de Linux contiene fragmentos copiados
del Unix de SCO, supuesto plagio que hasta el momento ha sido incapaz de
demostrar.
Prevención
Como siempre la regla de
oro a seguir es no abrir o ejecutar archivos potencialmente peligrosos,
sobre todo si no hemos demandado su envío. Adicionalmente, contar con
soluciones antivirus correctamente instaladas y puntualmente
actualizadas. También resulta útil seguir los foros de seguridad o
listas como una-al-día, para estar al tanto de las últimas amenazas
que nos pueden afectar
Los usuarios denunciaban que la compañía los había rastreado incluso cuando usaban el modo privado…
El Instituto Valenciano de Competitividad Empresarial financiará aquellas iniciativas que puedan solucionar incertidumbres científicas o…
Solo en el cuarto trimestre las empresas emergentes del país han levantado 1.500 millones de…
La región tiene 13 scaleups y destaca por sus empresas emergentes de salud y agrotech.
Valencia ha atraído en el primer semestre del año 30 millones de euros de inversión…
El diario estadounidense demanda a las dos compañías tecnológicas por haber usado sus contenidos para…